5
Exchange 2003 wird zur Spamschleuder durch NDN und Abwesenheitsnachrichten
Hallo,
ein Kunde von uns betreibt einen SBS 2003 mit Exchange 2003 für Email.
Der Server ist direkt per SMTP aus dem Internet erreichbar und als MX eingetragen (feste IP).
Updates sind alle gemacht, Antivirus- und Antispam-Software ist installiert und funktionieren gut.
Nun kam eine Email vom Provider, dass dieser Server an eine Honeypot-Adresse mehrere Emails geschickt hätte.
Die beigefügten Emails sind allesamt NDN, also Unzustellbarkeitsbenachrichtigungen.
Scheinbar verschickt der Exchange diese bei eingehenden Spam statt die Verbindung einfach zu beenden.
Aber was kann man dagegen machen?
Alle Open-Relay-Test blieben erfolglos.
Danke
Stefan
Nachtrag:
es waren Spam-Mails.
Absender: martin.mustermann@firmaA.de (gefälscht)
Empfänger: Maria@firmaB.de (gibts nicht)
Da es den Empfänger nicht gibt, stellt der Exchange die Mail nicht zu und verschickt ein NDN an den gefälschten Versender.
Für den den ist das natürlich Spam da er nie an firmaB eine Email geschickt hatte.
Ich hatte schon gehört, dass Exchange Emails unter bestimmten Umständen erstmal annimmt und dann nachträglich verwirfft.
ein Kunde von uns betreibt einen SBS 2003 mit Exchange 2003 für Email.
Der Server ist direkt per SMTP aus dem Internet erreichbar und als MX eingetragen (feste IP).
Updates sind alle gemacht, Antivirus- und Antispam-Software ist installiert und funktionieren gut.
Nun kam eine Email vom Provider, dass dieser Server an eine Honeypot-Adresse mehrere Emails geschickt hätte.
Die beigefügten Emails sind allesamt NDN, also Unzustellbarkeitsbenachrichtigungen.
Scheinbar verschickt der Exchange diese bei eingehenden Spam statt die Verbindung einfach zu beenden.
Aber was kann man dagegen machen?
Alle Open-Relay-Test blieben erfolglos.
Danke
Stefan
Nachtrag:
es waren Spam-Mails.
Absender: martin.mustermann@firmaA.de (gefälscht)
Empfänger: Maria@firmaB.de (gibts nicht)
Da es den Empfänger nicht gibt, stellt der Exchange die Mail nicht zu und verschickt ein NDN an den gefälschten Versender.
Für den den ist das natürlich Spam da er nie an firmaB eine Email geschickt hatte.
Ich hatte schon gehört, dass Exchange Emails unter bestimmten Umständen erstmal annimmt und dann nachträglich verwirfft.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 176427
Url: https://administrator.de/contentid/176427
Printed on: April 16, 2024 at 05:04 o'clock
5 Comments
Latest comment
Hallo,
sollte der Server normalerweise wenn er eine Nachricht abweist aus welchen Grund auch immer, eine Unzustellbarkeitsbenachrichtigung an den Absender schicken?=
Warum sind diese E-Mails nicht zugestellt worden?
Gruß
sollte der Server normalerweise wenn er eine Nachricht abweist aus welchen Grund auch immer, eine Unzustellbarkeitsbenachrichtigung an den Absender schicken?=
Warum sind diese E-Mails nicht zugestellt worden?
Gruß
Moin,
es waren Spam-Mails.
Absender: martin.mustermann@firmaA.de (gefälscht)
Empfänger: Maria@firmaB.de (gibts nicht)
Da es den Empfänger nicht gibt, stellt der Exchange die Mail nicht zu und verschickt ein NDN an den gefälschten Versender.
Für den den ist das natürlich Spam da er nie an firmaB eine Email geschickt hatte.
Ich hatte schon gehört, dass Exchange Emails unter bestimmten Umständen erstmal annimmt und dann nachträglich verwirfft.
Stefan
es waren Spam-Mails.
Absender: martin.mustermann@firmaA.de (gefälscht)
Empfänger: Maria@firmaB.de (gibts nicht)
Da es den Empfänger nicht gibt, stellt der Exchange die Mail nicht zu und verschickt ein NDN an den gefälschten Versender.
Für den den ist das natürlich Spam da er nie an firmaB eine Email geschickt hatte.
Ich hatte schon gehört, dass Exchange Emails unter bestimmten Umständen erstmal annimmt und dann nachträglich verwirfft.
Stefan
Hallo,
das ist komplett normal
Der exchange nimmt die Mail an lässt sie durch seine Regeln laufen (Je nachdem wo der Fehler auftritt erhält der Absender auch wenn dieser gefälscht ist)
In diesem Fall erhält der Absender die Meldung "User unknown"
Gruß
das ist komplett normal
Der exchange nimmt die Mail an lässt sie durch seine Regeln laufen (Je nachdem wo der Fehler auftritt erhält der Absender auch wenn dieser gefälscht ist)
In diesem Fall erhält der Absender die Meldung "User unknown"
Gruß
Hallo,
Im Prinzip schon. Nicht dass der Exchange das nicht schon in der Annahme feststellen könnte und diese verweigert.
Aber durch das verschicken der NDN an den gefälschten Absender wird er zur Spamschleuder und der Provider droht damit den Account zu sperren.
Das gleiche funktioniert natürlich auch mit Abwesenheitsbenachrichtigungen.
Aber was kann man dagegen tun um die Sperrung durch den Provider 2und2 zu verhindern.
Danke
Stefan
Im Prinzip schon. Nicht dass der Exchange das nicht schon in der Annahme feststellen könnte und diese verweigert.
Aber durch das verschicken der NDN an den gefälschten Absender wird er zur Spamschleuder und der Provider droht damit den Account zu sperren.
Das gleiche funktioniert natürlich auch mit Abwesenheitsbenachrichtigungen.
Aber was kann man dagegen tun um die Sperrung durch den Provider 2und2 zu verhindern.
Danke
Stefan
Hi.
Das schaut nach einer typischen Backscatter Attacke aus. Hier gibt es nur 2 Möglichkeiten. NDR deaktivieren, bis die Attacke vorbei ist, oder einen SPAM Filter verwenden,
der diese Attacken erkennen kann - z.B. XWALL von http://www.dataenter.at
LG Günther
Aber durch das verschicken der NDN an den gefälschten Absender wird er zur Spamschleuder
Das schaut nach einer typischen Backscatter Attacke aus. Hier gibt es nur 2 Möglichkeiten. NDR deaktivieren, bis die Attacke vorbei ist, oder einen SPAM Filter verwenden,
der diese Attacken erkennen kann - z.B. XWALL von http://www.dataenter.at
LG Günther